Anmerkung des Herausgebers: Im Dezember 2016 unterzeichnete Präsident Barack Obama ein Dekret, in dem Sanktionen gegen russische Bürger und Organisationen als Reaktion auf Versuche, sich in die Wahlen einzumischen, angekündigt wurden.
Die Liste enthält mehrere bekannte Hacker sowie den Federal Security Service (FSB) und die Main Intelligence Directorate (GRU). Ebenfalls auf der Liste stand eine weniger bekannte Organisation, die viele verwirrt: ZOR Security. Das Unternehmen wurde von Alisa Shevchenko gegründet, die mehrere Jahre als Expertin für Virenanalytik bei Kaspersky Lab arbeitete und sich leidenschaftlich für den Aufbau einer Community für Hacker und Computerfreaks einsetzte. Das US-Heimatschutzministerium machte ebenfalls darauf aufmerksamum Schneider Electric dabei zu helfen, Software-Schwachstellen zu finden.
Nach Angaben des Ministeriums arbeitete Shevchenkos Unternehmen mit der GRU zusammen, die angeblich hinter dem Hacking des Demokratischen Nationalkomitees und anderer politischer Organisationen stand. Shevchenko, auch bekannt als Alice Esage, sagte, die US-Behörden hätten Unrecht und sie habe ihre Firma bereits geschlossen. Sie ist derzeit eine unabhängige Forscherin und Gründerin des Zero-Day Engineering- Projekts , bei dem Menschen technisches Wissen teilen und Schulungen zur Software-Schwachstellenforschung anbieten.
Shevchenko sprach kürzlich mit dem Cyberthreat-Experten Dmitry Smilyanets von Recorded Future über die Ereignisse des Jahres 2016, ihre bevorzugten Sicherheitslücken und wie es ist, ein Hacker in Russland zu sein. Wir haben die Hauptsache aus dem Interview genommen.
Dmitry Smilyanets: Wie haben Sie reagiert, als Sie erfuhren, dass die US-Regierung Ihrem Unternehmen ZOR Security Sanktionen auferlegt hat?
Alice Esage: Ich habe versucht, ruhig zu bleiben und mich nicht von der Presse als gefährliche böse Schlampe darstellen zu lassen, die den Einbruch des Jahrhunderts initiiert hat. Unterwegs arbeitete ich weiter an meinen Projekten.
DS: Wie haben diese Ereignisse Ihr Leben verändert?
AE: Ich denke, sie haben mich zu einem Experten für Wohlstand unter US-Sanktionen gemacht.
DS: Sie sagten, die Behörden hätten sich geirrt - auf welche Weise?
AE: Das interessiert mich nicht mehr. Menschen haben das Recht, Fehler zu machen. Und die US-Regierung liebt es, gegen jeden Sanktionen zu verhängen, um ihre Macht dort geltend machen zu können, wo sie nicht existiert - wir werden sie ihm überlassen.
DS: Spüren Sie immer noch den Druck der Sanktionen?
AE: Es passiert eindeutig etwas, aber ich würde es nicht Druck nennen. Wenn jemand aus Angst vor der US-Regierung nicht mit mir zusammenarbeiten oder von meinen Produkten profitieren kann, ist das sein eigenes Problem.
DS: Wie sind Sie zu Cybersicherheit und Hacking gekommen?
AE:Alles begann mit meinem Vater Andrey. Er war ein talentierter Elektronikingenieur, einer der ersten in Russland, der mit der Montage von PCs auf der Grundlage von Ersatzteilen und Artikeln begann, die in ausländischen Fachzeitschriften als Hobby veröffentlicht wurden. In jenen Jahren waren Computer noch nicht weit verbreitet. Als ich 5 Jahre alt war, brachte er mir das Löten bei. Ich begann in der frühen Schule Bücher über Computer und Programmierung zu lesen und lernte das Programmieren in C ++ und x86 Assemblersprache, sobald ich mit 15 Jahren einen Computer bekam. Zurück in der Schule habe ich Reverse Engineering studiert, Crackme-Probleme gelöst, Computerspiele gehackt und zum Spaß Keygens gemacht. Ich habe auch an russischen und internationalen Hackerprojekten teilgenommen - hauptsächlich an Low-Level-Software-Hacking. Der Anfang war so.
DS: Glaubst du, es wird für die Menschen einfacher oder schwieriger, deinem Weg zu folgen?
AE:Schwer zu sagen. Als ich anfing, gab es nur sehr wenige Informationen über Computersicherheit. Das Internet war langsam, und nur wenige Veröffentlichungen konnten Ihnen dabei helfen, dies herauszufinden, abgesehen von allgemeinen Programmierbüchern. Ich erinnere mich, dass es eine Website namens ... etwas über ethisches Hacken gab, die anscheinend von einer Frau betrieben wurde. Die darauf veröffentlichten Artikel haben mich inspiriert und mich dazu gebracht, loszulegen. Die Dinge sind heutzutage anders. Es gibt viele Informationen. Es gibt Tausende von öffentlich verfügbaren Ressourcen zu allen Themen der Computersicherheit, von Anfängerhandbüchern bis hin zu professionellen technischen Schulungen zu fortgeschrittenen Themen (wie die, die ich unterrichte, macht es meine Firma Zero Day Engineering). Dies vereinfacht die Dinge sehr.
Andererseits wird die Computertechnologie immer komplexer, die Entwicklung beschleunigt sich, die Lernkurven werden steiler, und infolgedessen wird es schwieriger, ein hohes Maß an Wissen in diesem Bereich zu erreichen. Es dauert länger - Jahre und Jahrzehnte. Erinnern Sie sich an die alte Annahme, dass "ein Hacker ein Teenager ist" und dass eine Hacking-Karriere vor Ihrem 30. Geburtstag enden muss? Die Dinge sind jetzt anders. Die meisten der besten Hacker, die ich kenne, sind in den Dreißigern und fangen gerade erst an. Dies sind die Voraussetzungen, um das fortgeschrittene Hacken moderner Computersysteme wirklich zu beherrschen: Es dauert ein Leben lang Engagement.
Ich denke, ein wirklich steiles Niveau auf dem Weg zu erreichen, ist eher ein Schicksal als eine Wahl. Es bedarf einer ganz besonderen Denkweise, die auf genetischen Daten sowie besonderen Lebensumständen zu beruhen scheint, um jeden Tag das Unmögliche zu tun.
Es gibt viele einfachere Wege, um in der heutigen menschlichen Gesellschaft erfolgreich zu sein, als Ihr Gehirn auf einem anderen System zu spielen. Sie werden verstehen, dass Sie sich bereits in dieser Umgebung befinden, wenn Sie das Gefühl haben, ohne sie nicht leben zu können. Und wenn das passiert - Glückwunsch, es gibt kein Zurück.
DS: Welchen Rat haben Sie für junge Mädchen, die eine Karriere wie Ihre verfolgen möchten? Was sind die Vor- und Nachteile von Hacking?
AE:Finden Sie, was Sie interessiert, wählen Sie ein bestimmtes Problem und lösen Sie es bis zum Ende. Nachdenken und wiederholen. Das Lösen und Beenden technischer Probleme ist notwendig, um diesen Weg voranzutreiben, während der passive Verbrauch von Informationen hauptsächlich Ihr Gehirn verstopft und Ihre technische Kreativität beeinträchtigt. Widmen Sie sich dem Üben und lesen Sie hauptsächlich Primärquellen (z. B. technische Spezifikationen, klassische Bücher und hochwertige Blogs von Forschern, deren Arbeit Ihnen Spaß macht). Dieser Tipp gilt sowohl für Männer als auch für Frauen.
Und besonders für Frauen: Hören Sie niemandem zu und machen Sie weiter, was Sie lieben. Vor allem, wenn Sie bereits wissen, dass technische Arbeit Ihre Leidenschaft ist. Lassen Sie sich von niemandem von Management, Vorträgen, Berichten, Marketing oder anderen unterstützenden Funktionen in der Cyberbranche ablenken. Männer und Frauen stehen auf diesem Karriereweg definitiv vor unterschiedlichen Herausforderungen, obwohl die Dinge mit der Zeit besser werden (wenn auch viel langsamer und in geringerem Maße als normalerweise angenommen).
Vorteile und Nachteile? Es ist ein risikobehafteter Job, aber es macht Spaß.
DS: Was magst du am meisten an deinem Job? Und was magst du nicht besonders?
AE:Ich liebe Unsicherheit, eine feindliche Umgebung, Fehlersuche und Problemlösung. Ich finde es toll, dass mein Job sehr geschätzt wird, damit ich in drei Tagen ein hohes Jahresgehalt verdienen kann, wenn ich allein im Schlafanzug am Strand sitze. Ich mag die Tatsache nicht, dass ich mich mit vielen klugen Jungs messen muss, die in diesem Bereich die überwiegende Mehrheit bilden. Männer und Frauen sollen nicht miteinander konkurrieren.
DS: Was ist die coolste Sicherheitslücke, die Sie jemals gefunden haben?
AE: Fehler bei der Ausführung von Remotecode über DLL in Outlook Express für Windows XP. Es ist lange her, als Windows XP noch auf allen PCs verwendet wurde, nicht nur auf Geldautomaten und POS-Terminals, wie es jetzt ist. Zu Beginn meiner Karriere in der Vulnerabilitätsforschung entwickelte ich meine eigene Methode zur Erkennung von Zero-Day-Fehlern dieser Klasse und entdeckte viele Probleme, auch in der OE. Nachdem ich es gefunden hatte, überprüfte ich jahrelang, ob es repariert worden war - und nichts änderte sich. Dies ist zu diesem Zeitpunkt wahrscheinlich "Perpetual Day Zero", da XP nicht mehr unterstützt wird. Solche langlebigen und zuverlässigen Leistungen sind immer erfreulich.
Heutzutage sind DLL-Hijacking-Probleme (auch als unsicheres Laden von Bibliotheken bekannt) immer noch sehr häufig. Beispielsweise wurde diese Art von Fehler kürzlich im Zoom Windows-Client behoben. Solche Fehler sind leicht zu finden und leicht auszunutzen. Die Tatsache, dass die weltweit führenden Softwareentwickler weiterhin solche trivialen Programmierfehler begehen, weist auf einen gravierenden Mangel an Schwachstellenbewusstsein in der globalen Softwareindustrie hin. Dies ist einer der Gründe, warum mein Unternehmen spezielle Kanäle für Schwachstellenanalysen entwickelt, die (zusätzlich zu unserer Schulung) dazu beitragen sollen, diese Wissenslücke zu schließen und das Internet für alle sicherer zu machen.
DS: Was ist Ihrer Meinung nach der einfachste Weg, eine Organisation im Jahr 2021 zu gefährden?
AE:Generell gibt es keinen solchen Weg. Unternehmen haben unterschiedliche Sicherheitsstufen. Es ist wirklich wichtig zu verstehen, dass es eine Reihe offensiver Cyber-Technologien gibt, mit denen ein Unternehmen kompromittiert werden kann, von einfach bis komplex. Angreifer wählen normalerweise das schwächste Glied im System aus, das mit den einfachsten Technologien im Spektrum unterbrochen werden kann. Ich bevorzuge es, mich auf die schwierigsten dieser Probleme zu spezialisieren - Zero-Day-Schwachstellen und Exploits, insbesondere auf sicheren Systemen. Sobald ein schwieriges Problem gelöst ist, ist alles andere elementar. Außerdem ist das alles unvermeidlich. Sie können Ihren Mitarbeitern beibringen, Phishing zu vermeiden, was zur Entstehung von Ransomware führt. Sie können geeignete Unternehmensrichtlinien festlegen, um Insider zu blockieren.dass Sie Lieferketten entführen und Ihre Geschäftsgeheimnisse preisgeben, aber Sie können sich nicht vollständig gegen Technologie versichern. In technologischen Systemen treten Fehler auf, mit denen beliebiger Code ausgeführt werden kann. Und das Spiel ist vorbei.
Ein weiterer wichtiger Punkt, den Sie verstehen sollten, ist, dass unabhängig vom Szenario einer Sicherheitsverletzung die Hauptursache immer eine menschliche oder technische Sicherheitslücke ist. Mir ist aufgefallen, dass viele analytische Veröffentlichungen zum Kompromiss zwischen Cybersicherheit tendenziell etwas weiter von dieser Tatsache entfernt sind und nicht auf die Schwachstellen / Schwachstellen des Täters hinweisen, während die verschiedenen peripheren, sekundären und endgültigen Methoden, die an dem Prozess beteiligt sind, ausführlich erläutert werden . Der allgemeine Trend besteht heute darin, den Faktor Mensch aus den Sicherheitsgleichungen zu streichen, sodass rein technische Fehler langfristig immer wichtiger werden.
DS: Bitte erzählen Sie uns von Ihrem neuen Abenteuer, Zero Day Engineering.
AE:Zero-Day-Exploit-Engineering ist mein Lieblingssport. Ich kann nicht ohne ihn leben, weil er meinem Gehirn alle Lebensmittel gibt, die es braucht, und die ich in anderen Tätigkeitsbereichen nur schwer finden konnte. Ich hatte keine andere Wahl, als ein öffentliches Unternehmen zu gründen, das auf dieser Erfahrung basiert. Es ist erst ein Monat vergangen, seit ich dies offiziell angekündigt habe, und dies ist bereits mein Lieblingsprojekt. Es stellt sich heraus, dass es all das Wissen und die Erfahrung, die ich in zwei Jahrzehnten Arbeit gesammelt habe, effektiv kombiniert, sowohl in der technischen Praxis als auch im Unternehmertum.
Aus geschäftlicher Sicht besteht die allgemeine Idee darin, Cyber-Bedrohungsanalysen aus einer Hand mit einem ganz bestimmten Schwerpunkt anzubieten: Schwachstellen in Computersystemen auf niedriger Ebene für verschiedene Zielgruppen, von einzelnen Technikern bis hin zu Cybersicherheitsunternehmen, Softwareanbietern und Regierungen. Alle unsere Analysevorschläge sollten in erster Linie auf der ursprünglichen technischen Tiefenforschung im Labor basieren und nicht auf der Sammlung aus externen Quellen. Derzeit denke ich noch über konkrete Open-Source-Vorschläge und -Projekte nach, die die Branche derzeit akzeptieren kann.Die Gesamtidee hat sich bereits bei einer Kapitalinvestition von Null als sehr rentabel erwiesen (durch eingehende technische Fachausbildung für Einzelpersonen), und ich sehe großes Potenzial für die zukünftige Entwicklung.
Als nächstes zitiere ich nur die Website: „Egal wie modisch das Wort Cyber ist, es gibt nur zwei mögliche Ursachen für Sicherheitsverletzungen: die Verwundbarkeit technischer Systeme und die Verwundbarkeit von Menschen. Da globale Technologietrends darauf abzielen, den menschlichen Faktor zu beseitigen und die Entwicklung der Technologie zu beschleunigen, wird das Bewusstsein für die Schwachstellen technischer Systeme bei allen technologischen Entwicklungen von entscheidender Bedeutung. Wissen kann helfen, damit umzugehen. Anstatt unsere Erfahrung zu nutzen, um ein weiteres Verteidigungssystem zu schaffen, von dem wir wissen, dass es aus erster Hand angegriffen und umgangen wird, entwickeln wir Produkte, die systematisch die Wissenslücken schließen, die Schwachstellen und Exploits ermöglichen. "
DS: « , » . ? , , ? Windows.
AE: Im Allgemeinen bestehen viele ähnliche Sicherheitslücken auf verschiedenen Systemen derselben Klasse. Es geht nicht um Hypervisoren. Beispielsweise zeigen auch Betriebssystemkerne und Javascript-Engines diesen Trend. Der Hauptgrund für dieses Phänomen ist, dass Systeme derselben Klasse auf denselben abstrakten Modellen basieren, wie sie von Systemfunktionen, Anwendungsfällen und Bereitstellungsszenarien vorgegeben werden, selbst wenn sie unabhängig und zu unterschiedlichen Zeiträumen entwickelt werden. Dieselben abstrakten Modelle gehen wiederum von denselben falschen Annahmen aus, die von Systementwicklern und Programmierern getroffen wurden, wenn sie nicht speziell in moderner Codesicherheit geschult wurden. Hier kommt der Schnittpunkt von Schwachstellenmustern ins Spiel.
Wenn es für die Software-Sicherheit für jemanden nicht offensichtlich ist, ist es sehr wichtig. Tatsächlich stehen Informationen zu Sicherheitsproblemen in einem bestimmten Softwaresystem in direktem Zusammenhang mit allen anderen Systemen derselben Klasse und sogar mit vielen anderen Systemen im Allgemeinen (wenn auch in geringerem Umfang).
Wenn Sie beispielsweise ein Softwareentwickler sind, ist die Untersuchung von Sicherheitslücken in konkurrierenden Softwareprodukten eine leistungsstarke und triviale Methode, um Ihre eigene Codebasis zu härten oder zumindest öffentliche Scham zu vermeiden, wenn jemand einen Fehler in Ihrem Code entdeckt - der offensichtliche Fehler, der in a Produkt eines Mitbewerbers vor 10 bis 20 Jahren (kein Scherz, meine Kurse gaben viele konkrete Beispiele aus dieser traurigen Situation). In Workflows werden durch die Untersuchung von Fehlern auf einem System (normalerweise einem Open Source-System) sofort Schwachstellenmuster auf einem anderen proprietären System aufgedeckt, für die eine direkte Bedrohungsmodellierung schwierig ist. Im Allgemeinen können viele technische Sicherheitsprobleme gelöst oder optimiert werden, indem man sich auf diese weniger offensichtlichen Zufälle konzentriert.wenn Sie sie systematisch beobachten können.
DS: Sie sagten, dass sowohl Systeme, die die Codebasis selten ändern, als auch solche, die viel hinzufügen, viele Exploits haben können. Können Sie uns etwas über das relative Gleichgewicht zwischen ihnen erzählen? Unter dem Gesichtspunkt, dass für einige langfristige Exploits geschrieben werden und für andere - was mehr Schaden verursacht.
AE: Der Beitrag in meinem Blog, den Sie erwähnt haben, hat eine etwas andere Bedeutung: Es geht darum, wie wichtig es ist, die Interna von Systemen kennenzulernen, da sie aufgrund ihrer relativen Stabilität der Schlüssel zur Erstellung wiederverwendbarer, erweiterter Exploit-Grundelemente sind, da viele periphere Subsysteme davon abhängen auf sie ... Das Ablaufdatum eines Exploits steht nicht unbedingt im Widerspruch zu seinen möglichen Auswirkungen.
Wenn es um die Dauerhaftigkeit des Exploits geht, gibt es nur einen Schlüsselindikator: Wie schwierig es ist, einen Fehler zu finden. Da die Branche zur Erkennung von Sicherheitslücken ziemlich feindselig ist, hat der Wettbewerb einen großen Einfluss auf die Langlebigkeit der Exploits. Weniger Konkurrenz, längere Bugs leben.
Diese Metrik kann um ein System von Variablen erweitert werden, z. B. die Verfügbarkeit von Informationen, die zur Lösung des Problems erforderliche Menge an Wissen, die erforderlichen Fachkenntnisse, die erforderliche Spezialausrüstung, die Verfügbarkeit von Toolkits und die verschiedenen Sicherheitsmerkmale des Ziels Softwareanbieter usw. - all diese Aspekte gehören zu verschiedenen Phasen.
Wenn es um ernsthaftes strategisches Denken im Bereich der Erforschung und Entwicklung von Schwachstellen geht, kann es hier sehr schwierig werden. Für die gängigsten Zwecke kann all diese Komplexität jedoch auf eine einfache Regel reduziert werden: so tief wie möglich in das unverständlichste, aber aussagekräftigste System einzudringen. Dieser Aspekt überschneidet sich mit den internen Komponenten des tiefen Systems, ist jedoch nicht darauf beschränkt.
Im Gegensatz zu tiefen internen Systemkomponenten enthält neu hinzugefügter Code häufig subtile kritische Fehler, die leicht zu finden und zu verwenden sind. Aufgrund des kontroversen Charakters der Schwachstellenforschungsbranche werden diese Fehler relativ schnell erkannt und behoben (zumindest auf populären und kritischen Systemen), sodass Exploits, die auf ihnen basieren, nur von kurzer Dauer sind. Welches ist nicht unbedingt eine schlechte Sache.
Schließlich hat das Schadenspotential nichts mit den oben genannten technischen Indikatoren zu tun. Ich lache immer über Medienpropaganda, die versucht, Software-Exploits mit Mord in Verbindung zu bringen. Das ist lächerlich. Tatsächlich verursacht kein Computer-Exploit mehr Schaden als die gute alte physische Waffe, die er normalerweise ersetzt. Von Ethik und Emotionen abstrahiert, hat jede Leistung wirklich eine gewisse "Kraft", die anfangs neutral ist und von vielen Faktoren abhängt. Der Schlüsselfaktor hierbei ist, wer den Exploit kontrolliert, nicht seine technischen Eigenschaften.
DS: Wie ist es, mit Regierungsbehörden in Russland zusammenzuarbeiten? Sind sie professionell? Gibt es starke Spezialisten? Viel Bürokratie?
AE:Ich habe gehört, dass sie kompetent sind und gut bezahlen, wenn Sie bereit sind, eine internationale Karriere zu opfern.
DS: Was denkst du über Putin? Wie sehen russische Hacker seine Politik und Herrschaft im Allgemeinen?
AE: Ich kenne Putin noch nicht. Ich denke nicht an ihn und es ist mir egal, was andere denken. Eines ist mir aufgefallen: Keiner meiner Freunde aus Russland hat es heutzutage eilig, ins Ausland zu fliehen, obwohl dies der allgemeine Trend der 2000er Jahre war. Meine Schwester kehrte sogar nach Russland zurück, nachdem sie einige Zeit in Europa gelebt hatte. Dies ist der einzige Indikator, der mir sagt, dass mit meinem Mutterland alles in Ordnung ist. Auf dieser Grundlage gehe ich davon aus, dass Putin sein Bestes für Russland gibt.
JS: Lüfte das Geheimnis, was ist mit dem Spitznamen @ badd1e passiert, den alle so sehr mochten?
AE:Es ist kein Geheimnis. Es passte nicht zu meinen Twitter-Zielen, also habe ich es geändert Alisaesage... Ich habe es jedoch auf meiner GitHub-Seite belassen - für die Geschichte.